3月24日,360春耕行动推出智能网联汽车专场,以线上发布会形式邀请近20家媒体共同参与,正式发布《2019智能网联汽车信息安全年度报告》(以下简称《报告》)。《报告》从智能网联汽车网络安全发展趋势,新兴攻击手段,汽车安全攻击事件,汽车安全风险总结和安全建设建议等方面对2019年智能网联汽车信息安全的发展做了梳理。
2019年,车联网出现了两种新型攻击方式,大部分车厂将失守,数字车钥匙漏洞也打开了汽车安全的潘多拉盒子,而汽车网络安全的黄金分割点在于对供应商的安全管理,《报告》建议车联网安全要从正反两面去考虑,做主动防御。
《报告》指出,通信模组是导致批量控车发生的根源,汽车厂商应该遵循即将落地的汽车网络安全系列标准,执行严格的供应链管理机制,定期进行渗透测试,持续监控网络安全风险。
智能网联汽车“新四化”向多元发展迈进
2019 年,我国汽车产销分别为 2572.1 万辆和 2576.9 万辆,同比分别下降 7.5%和 8.2%,但产业下滑幅度有所收窄。汽车产业也进入了转变发展方式、优化产业结构、由高速增长转向高质量发展的关键时期。以“电动化、智能化、网联化、共享化”为核心的汽车“新四化”趋势,已成为政府、整车企业、汽车供应商、科技企业及消费者等各界的共识。
随着“新四化”的不断推进,汽车原本几千上万数量的机械零部件,逐步被电机电控、动力电池、整车控制器等在内的“三电”系统取代。同时新的业务场景催生出例如汽车 T-box,数字车钥匙等在内的电子电气部件,这又衍生出了一系列新的网络安全隐患。《报告》从新一代 E/E 架构面临新的安全挑战以及自动驾驶算法与传感器面临的安全挑战两方面进行了整体分析。
2020 年国内外围绕汽车网络安全的标准将全面铺开,总体上呈现出以自动驾驶、V2X 等应用场景为目标抓手,指导汽车产业链在概念、开发、生产、运维等各阶段开展网络安全活动。
2019 年开始,不少车企与互联网公司牵手,以战略合作和共建实验室等方式携手合作共同解决网络安全问题,则意味着“新四化”的变革已经冲出了汽车领域,朝着横向和多元的发展空间并进。
车联网出现的新型攻击方式近乎“通杀”
2019年,车联网出现两种新型攻击方式,基于车载通信模组信息泄露的远程控制劫持攻击以及基于生成式对抗网络的自动驾驶算法攻击,这两种新型攻击方式能够影响大部分车企。
早在2018年,360就探索出了通过破解通信模组,利用私有APN渗透车企TSP平台,从而实现批量远程控制车辆的攻击方式。2019月12月,360与奔驰梅赛德斯奔驰共同发现并修复了19个引发此类攻击的漏洞,其中包含6个CVE漏洞,影响在路车辆200余万辆。双方在RSA大会上共同对此次漏洞研究成果发表了演讲,通信模组作为车辆与外界网络连接的第一道防线,如果遭到黑客的破解,将会实现远程开闭车门车窗,启动关闭引擎等控车操作,威胁到用户的生命财产安全。经过大量研究发现,此类漏洞广泛存在于车企的车联网系统中,亟需引起广大车企的关注。
基于生成式对抗网络的自动驾驶算法攻击主要源于在深度学习模型训练过程中,缺失了对抗样本这类特殊的训练数据。虽然深度机器学习代表了技术的未来方向,但在目前的实际运用中,通过研究人员的实验证明,可以通过特定算法生成相应的对抗样本,直接攻击图像识别系统,神经网络算法仍存在一定的安全隐患,值得关注。
2019年智能网联汽车十大安全事件
2019年,智能网联汽车全球范围内出现了十大安全事件,包括基于通信模组的远程控制劫持攻击,基于生成式对抗网络(GAN)自动驾驶算法攻击,特斯拉PKES系统存在中继攻击威胁,特斯拉Model S/X WiFi协议存在缓存区溢出漏洞,共享汽车APP存在漏洞,基于激光雷达的自动驾驶系统安全性存疑,Uber爆出存在账号劫持漏洞,后装汽车防盗系统存在漏洞,丰田汽车服务器遭到入侵,宝马遭受APT攻击。
丰田澳大利亚在官网发表声明,称其再次遭受到网络安全攻击
《报告》通过对典型安全事件的分析,总结出当前汽车安全的四大风险:汽车攻击事件快速增长,攻击手段层出不穷;智能网联汽车缺乏异常检测和主动防御机制;数字钥匙成为广泛引起关注的新攻击面;自动驾驶算法和V2X系统将成为新的热点攻击目标。
数字车钥匙漏洞打开汽车安全的潘多拉盒子。数字车钥匙可用于远程召唤,自动泊车等新兴应用场景,这种多元化的应用场景也导致数字钥匙易受攻击。数字车钥匙的“短板效应”显著,身份认证、加密算法、密钥存储、数据包传输等任一环节遭受黑客入侵,则会导致整个数字车钥匙安全系统瓦解。目前常见的攻击方式是通过中继攻击方式,将数字车钥匙的信号放大,从而盗窃车辆。
伦敦地区盗窃特斯拉事件
2019 年,欧洲和美国相继爆出通过中继攻击的方式对高端品牌车辆实施盗窃的事件,尤其是在英国地区,仅 2019 年前 10 个月就有超过 14000 多起针 PKES 系统的盗窃事件,相当于每 38 分钟就有一起此类盗窃案件发生。而小偷的作案时间通常不到 30 秒,作案工具中继设备和攻击教程甚至在网络上也可以购买,这将对人身和财产安全造成极大的伤害。
智能网联汽车安全建设五大建议
《报告》针对智能网联汽车面临的安全风险和隐患提出了五大安全建议。
第一、建立供应商关键环节的安全责任体系,可以说汽车网络安全的黄金分割点在于对供应商的安全管理。“新四化”将加速一级供应商开发新产品,届时也会有新一级供应商加入主机厂采购体系,原有的供应链格局将被重塑。供应链管理将成为汽车网络安全的新痛点,主机厂应从质量体系,技术能力和管理水平等多方面综合评估供应商。
第二、推行安全标准,夯实安全基础。2020 年,将是汽车网络安全标准全面铺开的一年。根据ISO21434等网络安全标准,在概念、开发、生产、运营、维护、销毁等阶段全面布局网络安全工作,将风险评估融入汽车生产制造的全生命周期,建立完善的供应链管理机制,参照电子电器零部件的网络安全标准,定期进行渗透测试,持续对网络安全数据进行监控,并结合威胁情报进行安全分析,开展态势感知,从而有效地管理安全风险。
第三、构建多维安全防护体系,增强安全监控措施。被动防御方案无法应对新兴网络安全攻击手段,因此需要在车端部署安全通信模组、安全汽车网关等新型安全防护产品,主动发现攻击行为,并及时进行预警和阻断,通过多节点联动,构建以点带面的层次化纵深防御体系。
第四、利用威胁情报及安全大数据提升安全运营能力。网络安全环境瞬息万变,高质量的威胁情报和持续积累的安全大数据可以帮助车企以较小的代价最大程度地提升安全运营能力,从而应对变化莫测的网络安全挑战。
第五、良好的汽车安全生态建设依赖精诚合作。术业有专攻,互联网企业和安全公司依托在传统IT领域的技术沉淀和积累,紧跟汽车网络安全快速发展的脚步,对相关汽车电子电气产品和解决方案有独到的钻研和见解。只有产业链条上下游企业形成合力,才能共同将汽车网络安全提升到“主动纵深防御”新高度,为“新四化”的成熟落地保驾护航。
360汽车安全大脑拦截攻击35000次 全力守护智能网联汽车
360公司致力于保护用户网络安全和出行安全,360安全大脑和智能网联汽车安全大脑双双入围工信部“新一代人工智能产业创新重点任务入围揭榜单位”。截至目前,360汽车安全大脑共拦截攻击35000次,为车厂提供安全评估,累积发现车联网超500个安全问题,影响450万辆智能汽车。
当前,360已与国内80%的主流汽车厂商合作,有超50万辆路面上行驶的汽车接入360汽车安全大脑,获得实时防护。此外,360还牵头中国第一个汽车信息安全国际标准——ITU-T X.mdcv(基于大数据分析的联网汽车异常行为安全检测机制),参与ISO、汽标委、信安标委、通信标委等10余项的汽车网络安全标准的制定工作,累计申请汽车网络安全相关专利30余项,全力守护智能网联汽车安全。